Contexte : Un serveur interne communique régulièrement avec un service cloud légitime via HTTPS. Le Problème : Une augmentation progressive du volume de données sortantes est observée, mais le trafic semble légitime car il utilise un service reconnu. Contraintes : Vous disposez uniquement des métadonnées réseau (volume, fréquence, destination) et des journaux applicatifs. Aucun accès au contenu chiffré. Livrable attendu : Analyser les tendances de trafic, identifier les écarts comportementaux et déterminer s'il s'agit d'une utilisation normale ou d'une exfiltration masquée.